El martes de esta semana VMware lanzó una actualización que repara un total de 19 vulnerabilidades que afectan a dos productos de la compañía, vCenter Sever y Cloud Foundation. Una de las vulnerabilidades parcheadas es la CVE-2021-22005, un fallo que permite la carga de archivos arbitrarios y que recibió un puntaje de 9.8 en la escala de severidad CVSS. La vulnreabilidad podría ser explotada por actores de amenazas mediante archivos especialmente diseñados para conducir ataques de ejecución remota de código (RCE). Las versiones 6.7, y 7.0 de vCenter Server se ven impactadas por esta falla.
La compañía recomienda actualizar a la versión 7.0U2d lo antes posible. Sobre todo, porque tal como explicó, es cuestión de tiempo para que la vulnerabilidad sea utilizada para fines maliciosos y que aparezcan exploits públicos que funcionen. De hecho, fuentes públicas han notado actividad en la red en busca de servidores vulnerables accesibles desde la red.
CVE-2021-22005 scanning activity detected from 116.48.233.234 (🇭🇰).
Target:
VMware vCenter servers vulnerable to arbitrary file upload leading to remote code execution (https://t.co/JWfc7rHuUK).#threatintel pic.twitter.com/mDFQtyx8IG— Bad Packets (@bad_packets) September 22, 2021
Cualquier atacante con acceso a la red a través del puerto 443 en vCenter Server será capaz de explotar la vulnerabilidad en equipos desactualizados, independientemente de la configuración establecida, explicó VMware.
Tengamos presente que una vulnerabilidad de ejecución remota de código permite a un atacante —que logró acceso a la red corporativa— ejecutar comandos para evadir controles de seguridad. Según VMware, los grupos de ransomware han demostrado en reiteradas oportunidades que son capaces de comprometer redes corporativas y mantenerse a la espera de forma silenciosa hasta que llegue el momento oportuno para lanzar su ataque desde el interior de la red.
Vale la pena mencionar que en julio se dio un escenario similar con la CVE-2021-21985, otra vulnerabilidad crítica en vCenter Server que recibió el mismo puntaje de 9.8 en cuanto a severidad y que a los pocos días de conocerse se detectó actividad en la red en busca de servidores vulnerables. De hecho, la CVE-2021-21985 ya ha sido utilizada en ataques de ransomware para intentar obtener acceso inicial.
Aquellos que no puedan instalar la actualización, vale la pena mencionar que VMware compartió algunas soluciones temporales hasta que puedan instalar el parche.
